- sien ISO 27002:2022 Beheer 5.16 vir meer inligting.
- sien ISO 27001:2013 Bylae A 9.2.1 vir meer inligting.
Verstaan ISO 27001:2022 Bylae A Beheer 5.16 – Versterking van identiteitsbestuur
Die hersiene ISO 27001:2022 Bylae A 5.16 Identiteitsbestuur vestig 'n raamwerk vir die goedkeuring, registrasie en administrasie van menslike en nie-menslike identiteite op enige netwerk – gedefinieer as die “volle lewensiklus.
Rekenaarnetwerke gebruik identiteite om die onderliggende vermoë van 'n entiteit ('n gebruiker, groep gebruikers, toestel of IT-bate) te identifiseer om toegang tot 'n stel hardeware- en sagtewarebronne te verkry.
Wat doen ISO 27001:2022 Bylae A 5.16?
Die doel van Bylae A 5.16 is om te beskryf hoe 'n organisasie kan identifiseer wie (gebruikers, groepe gebruikers) of wat (toepassings, stelsels en toestelle) verkry toegang tot data of IT-bates op enige gegewe oomblik, en hoe aan daardie identiteite toegangsregte verleen word.
As 'n voorkomende maatreël, het Bylae A 5.16 ten doel om risiko handhaaf deur die hoofomtrek vas te stel vir alle verwante inligtingsekuriteit en kubersekuriteitsbedrywighede, sowel as die primêre wyse van bestuur wat 'n organisasie se Identiteit- en Toegangsbestuurproses bepaal.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Eienaarskap van Bylae A 5.16
Met inagneming van ISO 27001:2022 Bylae A 5.16 dien as 'n primêr instandhoudingsfunksie, moet eienaarskap gegee word aan IT-personeel met globale administrateurregte (of ekwivalent vir nie-Windows-infrastruktuur).
Benewens ander ingeboude rolle wat gebruikers toelaat om identiteite te bestuur (soos Domeinadministrateur), moet Bylae A 5.16 besit word deur die individu wat verantwoordelik is vir die hele netwerk van die organisasie, insluitend alle subdomeine en Active Directory-huurders.
Algemene riglyne oor ISO 27001:2022 Bylae A 5.16
Aanhangsel A 5.16-nakoming word bereik deur identiteitsgebaseerde prosedures duidelik in beleidsdokumente uit te druk en personeelnakoming op 'n daaglikse basis te monitor.
Ses prosedures word in Bylae A 5.16 gelys, om te verseker dat 'n organisasie aan die vereiste standaarde van infosec en kuberveiligheidsbestuur voldoen:
- Wanneer 'n identiteit aan 'n persoon toegeken word, is daardie persoon die enigste een wat met daardie identiteit kan staaf en/of dit kan gebruik wanneer toegang tot netwerkhulpbronne verkry word.
- In sommige gevalle kan dit nodig wees om 'n enkele identiteit aan verskeie mense toe te ken, ook bekend as 'n 'gedeelde identiteit'. Gebruik slegs hierdie benadering wanneer 'n eksplisiete stel operasionele vereistes nodig is.
- 'Nie-menslike' entiteite (enige identiteit wat nie aan 'n regte persoon gekoppel is nie) moet anders as gebruikergebaseerde identiteite behandel word by registrasie.
- In die geval van 'n vertrek, oortollige bates of ander nie-vereiste identiteite, moet 'n netwerkadministrateur dit deaktiveer of heeltemal verwyder.
- Dit is noodsaaklik om duplikaat identiteite ten alle koste te vermy. 'n 'Een entiteit, een identiteit'-reël behoort deur alle organisasies gevolg te word.
- Identiteitsbestuur en verifikasie -inligting moet voldoende gedokumenteer word vir alle 'beduidende gebeurtenisse.
Die bereiking van voldoening beteken dat IT-beleide duidelik moet bepaal dat gebruikers nie aanmeldinligting mag deel nie, of ander gebruikers moet toelaat om deur die netwerk te rondswerf deur enige ander identiteit as die een wat aan hulle gegee is, te gebruik.
Om voldoening te bereik, moet registrasie van gedeelde identiteite apart van enkelgebruikerregistrasie hanteer word, met 'n toegewyde goedkeuringsproses.
’n Nie-menslike identiteit moet ook sy eie goedkeuring- en registrasieproses hê, wat die fundamentele verskil erken tussen die toekenning van ’n identiteit aan ’n persoon en die toestaan van een aan ’n bate, aansoek of toestel.
Die IT-afdeling moet gereelde oudits uitvoer om te bepaal watter identiteite gebruik word, en watter entiteite geskors of uitgevee kan word. Dit is belangrik vir MH-personeel om identiteitsbestuur in te sluit by uitstapprosedures, en om IT-personeel onmiddellik in te lig wanneer 'n verlaater vertrek.
Om daaraan te voldoen, moet IT-personeel verseker dat entiteite nie toegangsregte op grond van meer as een identiteit ontvang wanneer hulle rolle oor 'n netwerk toeken nie.
Dit is moontlik om die term 'beduidende gebeurtenis' anders te interpreteer, maar op 'n basiese vlak moet organisasies seker maak dat hul bestuursprosedures 'n omvattende lys van toegewysde identiteite op enige gegewe tydstip insluit, robuuste veranderingsversoekprotokolle met toepaslike goedkeuringsprosedures, en 'n goedgekeurde veranderingsversoekprotokol.
Bykomende aanvullende riglyne vir aanhangsel A 5.16
Wanneer 'n identiteit geskep word en dit toegang tot netwerkhulpbronne verleen, lys Bylae A 5.16 ook vier stappe wat besighede moet volg (wysiging of verwydering van toegangsregte word getoon in ISO 27001:2022 Bylae A 5.18):
- Voordat jy 'n identiteit skep, stel 'n besigheidsgeval vas.
- Maak seker dat die entiteit (mens of nie-mens) aan wie 'n identiteit toegeken is, onafhanklik geverifieer is.
- Die skep van 'n identiteit
- Die finale konfigurasiestappe vir 'n identiteit
Elke keer wanneer 'n identiteit geskep word, word identiteitsbestuur eksponensieel meer uitdagend. Dit is raadsaam vir organisasies om slegs nuwe identiteite te skep wanneer dit duidelik nodig is.
Identiteits- en toegangsbestuurprosedures moet verseker dat, sodra die besigheidsaak goedgekeur is, 'n individu of bate wat nuwe identiteite ontvang die vereiste magtiging het voordat 'n identiteit geskep word.
Jou IT-personeel moet bou 'n identiteit in lyn met die besigheidsgeval vereistes, en dit moet beperk word tot wat in enige veranderingsversoekdokumentasie uiteengesit word.
As die laaste stap in die proses word 'n identiteit aan elk van sy toegangsgebaseerde toestemmings en rolle (RBAC) sowel as enige verifikasiedienste wat vereis word, toegeken.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Wat is die veranderinge vanaf ISO 27001:2013?
Die ISO 27001: 2022 Bylae A 5.16 vervang ISO 27001:2013 A.9.2.1 (voorheen bekend as 'Gebruikersregistrasie en -deregistrasie').
Terwyl die twee kontroles 'n paar treffende ooreenkomste deel - hoofsaaklik in instandhoudingsprotokolle en die deaktivering van oortollige ID's - bevat Bylae A 5.16 'n omvattende stel riglyne wat handel oor identiteits- en toegangsbestuur as 'n geheel.
Bylae A 5.16 Menslike vs. Nie-menslike identiteite verduidelik
Daar is 'n paar verskille tussen die 2022-bylae en sy voorganger deurdat, ten spyte van verskille in registrasieprosesse, mense en nie-mense nie meer apart behandel word wanneer dit by algemene netwerkadministrasie kom nie.
Dit het meer algemeen geword in IT-bestuur en beste praktykriglyne om uitruilbaar oor menslike en nie-menslike identiteite te praat sedert die koms van moderne identiteits- en toegangsbestuur en Windows-gebaseerde RBAC-protokolle.
In Bylae A 9.2.1 van ISO 27001:2013 is daar geen riglyne oor hoe om nie-menslike identiteite te bestuur nie, en die teks is slegs gemoeid met die bestuur van wat dit 'Gebruiker ID's' noem (dws aanmeldinligting saam met 'n wagwoord wat gebruik word) om toegang tot 'n netwerk te verkry).
ISO 27001:2022 Bylae A 5.16 Dokumentasie
Bylae A 5.16 verskaf eksplisiete leiding oor beide die algemene sekuriteitsimplikasies van identiteitsbestuur, en hoe organisasies inligting moet opteken en verwerk voor die toekenning van identiteite, sowel as regdeur die lewensiklus van die identiteit.
Vergelykend noem ISO 27001:2013 A.9.2.1 slegs kortliks die IT-bestuursrol wat die administrasie van identiteite omring, en beperk homself tot die fisiese praktyk van identiteitsadministrasie.
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
[case_study_slider ids=”88859,101932,92016″ outospeel=”waar” outospeelspoed=”5000″]
Hoe ISMS.online jou help om Aanhangsel A 5.16 Voldoening te bereik
Solank jy jou sekuriteitsbestuurstelsel se prosesse opdateer om die verbeterde kontroles te weerspieël, sal jy aan ISO 27001:2022 voldoen. Dit kan deur ISMS.online hanteer word as jy nie die nodige hulpbronne in huis het nie.
Ons vereenvoudig ISO 27001:2022-implementering deur ons intuïtiewe werkvloei en gereedskap, insluitend raamwerke, beleide, kontroles, uitvoerbare dokumentasie en leiding. Met ons wolk-gebaseerde sagteware kan jy al jou ISMS oplossings op een plek.
Ons platform laat jou toe om die omvang van jou te definieer ISMS, identifiseer risiko's en implementeer beheermaatreëls maklik.
Om meer te wete te kom oor hoe ISMS.online jou kan help om jou ISO 27001-doelwitte te bereik, asseblief kontak vandag om 'n demonstrasie te bespreek.
